Conclusiones clave
- La expansión de las API lleva un ritmo tan acelerado que cuesta adaptar la resiliencia de la seguridad. La rápida innovación en la digitalización y en la IA ha provocado que los inventarios de API se disparen, con una mediana de activos que supera los 5900 dispositivos. Sin una seguridad que tenga el mismo nivel de madurez, este crecimiento crea una superficie de ataque inmanejable, que el 87 % de las empresas no pudo defender el año pasado.
- La adopción de la IA actúa como un multiplicador de los riesgos para la capa de API. Las organizaciones invirtieron 37 000 millones de dólares en IA generativa en 2025, lo que supone una asignación de 19 000 millones de dólares a la capa de aplicaciones. Sin embargo, estas aplicaciones dependen de API que a menudo carecen de la visibilidad o los controles de seguridad necesarios. Por eso, no es de extrañar que el 42 % de los incidentes de seguridad estén vinculados a API que impulsan aplicaciones, modelos y agentes de IA.
- Los flujos de datos invisibles crean puntos ciegos masivos para el cumplimiento y la seguridad. Si bien muchas empresas afirman tener inventarios completos, solo el 23 % realmente sabe qué API devuelven datos sensibles, lo que supone una disminución del 40 % con respecto a 2022. Esta falta de información impide que los equipos prioricen los riesgos, y deja los datos regulados expuestos a accesos no autorizados.
- Existe una peligrosa "brecha de percepción" entre los equipos de liderazgo y el personal técnico. El 40 % de los directivos cree que sus pruebas de seguridad de API son "avanzadas", mientras que solo el 28 % de los equipos de DevSecOps que realizan el trabajo está de acuerdo. Esta desalineación oculta las debilidades operativas críticas y retrasa las inversiones necesarias en seguridad automatizada.
- Los fallos de seguridad de API provocan una erosión financiera significativa y cuantificable. El coste anual medio de los incidentes relacionados con API ha alcanzado los 700 000 USD por organización, debido a la corrección, el tiempo de inactividad y los honorarios legales. La implementación de herramientas de seguridad de API dedicadas es esencial para mitigar estos crecientes costes y proteger los resultados de la empresa.
Preguntas frecuentes
Preguntas frecuentes
Según el estudio de 2026, el 87 % de los encuestados afirmó haber experimentado al menos un incidente de seguridad relacionado con API en los últimos 12 meses, lo que supone un aumento significativo con respecto al 78 % de 2022.
El coste medio de los incidentes relacionados con API es de 700 000 USD por organización, aunque el cuartil superior de las empresas afectadas registró costes superiores a los 1,8 millones de USD.
Las aplicaciones de IA dependen de las API para acceder a los datos y activar acciones, pero estas API a menudo se crean sin una resiliencia adecuada. El 42 % de los encuestados atribuyó los eventos de seguridad a las API que hay detráas de las aplicaciones de IA, los agentes y los LLM.
Los errores de configuración se citan como la principal causa de los incidentes, que se producen en un momento en el que casi la mitad de las empresas afirman estar tan solo de forma leve a moderada preparadas para abordarlos.
Los servicios financieros destacan como el sector más atacado, con un 96 % de los encuestados de ese sector con ataques relacionados con API en los últimos 12 meses.
Las API vinculadas a la IA se definen como API que proporcionan o recuperan datos confidenciales, se conectan a agentes o modelos lingüísticos grandes (LLM), o permiten acciones automatizadas sin visibilidad ni control completos.
Aunque aproximadamente tres cuartas partes de los encuestados afirman tener un inventario completo de API, menos de uno de cada cuatro (23 %) sabe cuál de esas API devuelve datos confidenciales previa solicitud.
La pérdida de productividad fue el impacto más citado de los incidentes de seguridad de API experimentados por los participantes en el estudio en 2025, seguido de otros factores como la reputación de la marca y la pérdida de ingresos.